Molti tipi di minacce sono diventati disponibili come servizio, il che rende possibile anche a chi non ha sufficienti conoscenze tecniche di causare attacchi informatici. Ecco tutto quello che dovete sapere per stare al sicuro da Ransomware-as-a-Service (RaaS) e Phishing-as-a-Service (PhaaS).
Minacce monetizzate
In passato, l'esecuzione di un attacco informatico sofisticato richiedeva molto lavoro. Un potenziale aggressore doveva saper codificare, sviluppare un software funzionale e sofisticato, rimanere anonimo nei confronti delle vittime... Oggi la situazione è cambiata e le piattaforme offrono ransomware o phishing-as-a-service a chiunque sia interessato a usare queste minacce contro qualcuno o a guadagnare denaro con mezzi criminali.
I modelli RaaS e PhaaS sono piuttosto simili al modello di business del software-as-a-service (SaaS): un operatore sviluppa un software e lo vende a un affiliato che può avere poche o nessuna conoscenza di codifica e sviluppo - solo che in questo caso il software è dannoso.
Oltre a creare il malware, gli operatori possono anche offrire supporto tecnico all'affiliato e una guida passo-passo per lanciare l'attacco. Spesso presentano il loro prodotto online, cercano affiliati sui forum del dark web e promuovono il loro prodotto con recensioni elaborate.
Mentre alcuni operatori reclutano solo affiliati con competenze tecniche avanzate per aumentare le loro possibilità di guadagno (come il gruppo di criminalità informatica Circus Spider), altri proprietari di RaaS e PhaaS cercano chiunque sia disposto a utilizzare il loro prodotto e a pagare abbastanza denaro.
Il ransomware o il phishing-as-a-service possono essere acquistati in base a diversi modelli di guadagno. L'affiliato può pagare un prezzo unico per il servizio o pagare un canone mensile per continuare a utilizzare il malware. Nel caso di RaaS, alcuni operatori possono anche richiedere una percentuale sul riscatto pagato. Dato che il pagamento medio del riscatto è stato di circa 228.125 dollari nel 2022, bastano pochi attacchi riusciti per rendere il servizio redditizio sia per l'operatore che per l'affiliato.
I criminali informatici si sono anche resi conto di poter guadagnare di più eseguendo attacchi condotti dall'uomo e prendendo di mira direttamente le aziende. Puntando i loro attacchi su aziende specifiche, possono conoscere meglio i loro bersagli e lanciare gli attacchi quando sono più vulnerabili, ad esempio durante le vacanze o i fine settimana.
Di conseguenza, gli attacchi ransomware non solo sono accessibili a quasi tutti, ma hanno anche sempre più successo.
Il crimine digitale come modello di business
Esistono molti operatori diversi che offrono il loro malware online e ogni anno ne vengono lanciati altri. La maggior parte di loro è tutt'altro che un dilettante della criminalità informatica. Gruppi di criminali informatici altamente sviluppati spesso offrono RaaS e PhaaS con una rete di dipendenti che si occupano non solo della codifica e dello sviluppo, ma anche del servizio clienti, delle trattative e altro ancora.
Tra le bande più note c'è il gruppo CARBON SPIDER, associato all'operazione DarkSide RaaS, o il gruppo PINCHY SPIDER, che vende il comune ransomware REvil (o Sodinokibi), noto per il riscatto più alto richiesto di 70 milioni di dollari. Alcuni ransomware famosi provengono da fonti sconosciute: ad esempio, gli attacchi Dharma, che sono stati associati a un gruppo criminale iraniano sconosciuto, o il ransomware Ryuk, che prende di mira principalmente enti pubblici, come le scuole statunitensi.
Percentuale dei 10 principali tipi di ransomware segnalati
1. REvil / Sodinokibi – 14.2%
2. Conti V2 – 10.2%
3. Lockbit – 7.5%
4. Clop – 7.1%
5. Egregor – 5.3%
6. Avaddon – 4.4%
7. Ryuk – 4%
8. DarkSide – 3.5%
9. Suncrypt – 3.1%
10. Netwalker – 3.1%
Source: Cloudwards, 2021
Per quanto riguarda gli attacchi PhaaS, la maggior parte di essi si concentra sui servizi occidentali, ma c'è anche la piattaforma Caffeine che si rivolge ai mercati russo e cinese e raccoglie le credenziali di accesso delle vittime falsificando una pagina di login di Microsoft. Caffeine esemplifica l'ultima accessibilità delle minacce, poiché i servizi della piattaforma sono disponibili a chiunque abbia un indirizzo e-mail.
Come rimanere al sicuro
Come proteggere se stessi e il proprio datore di lavoro da phishing e ransomware? Ecco alcune regole di base che ogni dipendente dovrebbe seguire:
1. State attenti quando leggete le e-mail. Imparate a riconoscere il phishing e reagite con cautela ogni volta che ricevete un messaggio da qualcuno che non conoscete o un'e-mail che sembra sospetta. Se non siete sicuri dell'autenticità di un'e-mail, non cliccate su alcun link o aprite alcun allegato e consultate la situazione con il vostro team IT.
2. Conoscere - e seguire - le basi dell'igiene delle password. Utilizzate una password diversa per ogni vostro account e cercate sempre di creare una password complessa, difficile da indovinare ma facile da ricordare, o meglio ancora, utilizzate una passphrase. Utilizzate un gestore di password affidabile, consigliato dai vostri specialisti IT, per aiutarvi a ricordare tutte le vostre credenziali.
3. Eseguire sempre il backup dei dati. I dipendenti devono sapere come eseguire il backup dei propri documenti e quali archivi online e offline utilizzare per conservare i propri file in modo sicuro.
4. Rimanere informati. Conoscete alcune minacce comuni che potreste incontrare e imparate a reagire ad esse. Allo stesso modo, imparate a conoscere la politica e il piano di crisi della vostra azienda per prepararvi ad agire se siete vittime di phishing o ransomware. Cercate di mantenere le vostre conoscenze aggiornate con il rapido sviluppo della tecnologia, poiché ci sono continui cambiamenti nelle potenziali minacce e nel modo di proteggersi da esse.
5. Scegliete una soluzione affidabile. Per rimanere protetti da RaaS e PhaaS, utilizzate una soluzione che protegga i vostri dispositivi da ransomware e phishing. Con una formazione adeguata, abitudini di sicurezza vantaggiose e protezione software, sarà difficile per i cyber-attaccanti trasformare voi o la vostra azienda in una vittima.